SID - Security Incident Detection  

Detecção de incidentes de segurança

O módulo SID está na versão 1.1 e atua em conjunto com os módulos Active Directory Auditing (ADA), File Server Auditing (FSA), Exchange Server Auditing (EXA) e Office 365 Auditing (OFA). Analisa em tempo real os eventos gerados e detecta situações adversas que representam possíveis ameaças ou vulnerabilidades.

O SID correlaciona os eventos e suas séries históricas utilizando algoritmos disponíveis em uma base de conhecimento, detectando comportamentos suspeitos que poderão ativar alertas e propor correções. Tal análise pode ser focada em determinado usuário ou recurso sensível, como uma pasta no servidor de arquivos ou caixa postal.

Os incidentes detectados podem ser enviados por e-mail ou SMS, apresentados em um dashboard ou encaminhados para sistemas SIEM.

São exemplos de incidentes identificados pelo SID:

» Logon simultâneo de uma mesma conta em vários computadores;
» Inclusão de usuário em um grupo de segurança restrito;
» Envio de grande volume de e-mails para um único destinatário externo;
» Concessão de permissão a si mesmo em caixa postal de outra pessoa;
» Suspeita de ransomware provocada por alteração massiva de arquivos;
» Modificação em GPOs críticas;
» Utilização de conta de serviço para logon interativo.